a16z's 10,000-Word Essay (Part 1): The Misunderstood 'Quantum Supremacy', You Don't Need to Panic Until 2030

marsbitОпубликовано 2025-12-12Обновлено 2025-12-12

Введение

The article clarifies misconceptions about "quantum supremacy" and argues that cryptographically relevant quantum computers (CRQC) capable of breaking classical encryption (e.g., via Shor's algorithm) are unlikely to emerge before 2030. It distinguishes between post-quantum encryption and signatures, emphasizing that encryption requires immediate migration due to "Harvest Now, Decrypt Later" (HNDL) attacks, where adversaries store encrypted data for future decryption. In contrast, post-quantum signatures are less urgency, as they are not vulnerable to HNDL—past signatures remain secure even after CRQC emergence. The article critiques exaggerated claims about quantum progress, noting that current hardware lacks the scale, fidelity, and error correction needed for CRQC. It also highlights that zkSNARKs, like signatures, are not susceptible to HNDL attacks. Migration strategies should prioritize encryption while adopting a measured approach for signatures to avoid unnecessary costs and risks.

Currently, predictions about when "Cryptographically Relevant Quantum Computers (CRQC)" will emerge are often overly aggressive and exaggerated—leading to calls for an immediate and comprehensive migration to post-quantum cryptography.

However, these calls often overlook the costs and risks of premature migration, as well as the vastly different risk profiles of various cryptographic primitives:

  • Post-quantum encryption does indeed need to be deployed immediately, despite the high costs: "Harvest Now, Decrypt Later" (HNDL) attacks are already happening. Sensitive data encrypted today may still be valuable decades later when quantum computers emerge. Although implementing post-quantum encryption incurs performance overhead and execution risks, for data requiring long-term confidentiality, there is no alternative in the face of HNDL attacks.
  • Post-quantum signatures, however, face a completely different computational logic: They are not affected by HNDL attacks. Moreover, the costs and risks of post-quantum signatures (larger size, worse performance, immature technology, and potential bugs) dictate a thoughtful, rather than rushed, migration strategy.

Clarifying these distinctions is crucial. Misunderstandings distort cost-benefit analyses, causing teams to overlook more immediate and critical security risks—such as code bugs.

The real challenge in migrating to post-quantum cryptography is matching the sense of urgency with the actual threat. The following sections will clarify common misconceptions about the quantum threat by covering encryption, signatures, and zero-knowledge proofs (particularly their impact on blockchain).

How Far Are We from the Quantum Threat?

Despite the hype, the likelihood of a "Cryptographically Relevant Quantum Computer (CRQC)" emerging in the 2020s is extremely low.

By "CRQC," I mean a fault-tolerant, error-corrected quantum computer, large enough to run Shor's algorithm to attack elliptic curve cryptography or RSA in a reasonable time (e.g., breaking secp256k1 or RSA-2048 in at most a month).

A reasonable reading of public milestones and resource estimates shows we are still far from building such a machine. Although some companies claim CRQC could appear before 2030 or 2035, currently known public developments do not support these claims.

Objectively, looking at all current technical architectures—ion traps, superconducting qubits, neutral atom systems—none of these platforms today come close to the hundreds of thousands to millions of physical qubits required to run Shor's algorithm (depending on error rates and error correction schemes).

The limiting factors are not just the number of qubits, but also gate fidelities, qubit connectivity, and the sustained error-corrected circuit depth needed to run deep quantum algorithms. Although some systems now have over 1,000 physical qubits, focusing solely on the number is misleading: these systems lack the connectivity and fidelity required for cryptographically relevant computations.

Recent systems are beginning to approach the threshold where quantum error correction becomes effective in terms of physical error rates, but no one has yet demonstrated more than a few logical qubits with sustained error-corrected circuit depth... let alone the thousands of high-fidelity, deep-circuit, fault-tolerant logical qubits actually needed to run Shor's algorithm. The gap from "proving quantum error correction works in principle" to "achieving the scale needed for cryptanalysis" remains vast.

In short: unless both the number of qubits and their fidelities improve by several orders of magnitude, CRQC remains out of reach.

However, it's easy to be confused by corporate PR and media reports. Here are some common sources of misunderstanding:

  • Demonstrations claiming "quantum advantage": These currently target artificially designed tasks. They are chosen not for their utility, but because they can run on existing hardware and exhibit massive quantum speedup—a point often glossed over in announcements.
  • Companies claiming to have thousands of physical qubits: This usually refers to quantum annealers, not the gate-model machines needed to run Shor's algorithm against public-key cryptography.
  • Misuse of the term "logical qubit": Quantum algorithms (like Shor's) require thousands of stable logical qubits. Through quantum error correction, we can implement one logical qubit using many physical qubits—typically hundreds to thousands. But some companies have abused this term to an absurd degree. For example, a recent announcement claimed 48 logical qubits using only two physical qubits per logical qubit. Such low-redundancy codes can only detect errors, not correct them. True fault-tolerant logical qubits for cryptanalysis each require hundreds to thousands of physical qubits.
  • Playing with definitions: Many roadmaps use "logical qubit" to refer to qubits that only support Clifford operations. These operations can be efficiently simulated by classical computers and are therefore entirely insufficient for running Shor's algorithm.

Even if a roadmap aims for "thousands of logical qubits by year X," this does not mean the company expects to run Shor's algorithm to break classical cryptography that year.

These marketing tactics severely distort the public's (and even some seasoned observers') perception of how imminent the quantum threat is.

Nonetheless, some experts are indeed excited about the progress. Scott Aaronson recently stated that, given the speed of hardware advances, he considers it "possible to have a fault-tolerant quantum computer running Shor's algorithm before the next US presidential election". But he also made clear that this is not equivalent to a CRQC threatening cryptography: even just factorizing 15 = 3 × 5 under a fault-tolerant regime would count as "fulfilling the prophecy." This is clearly not on the same scale as breaking RSA-2048.

In fact, all quantum experiments "factorizing 15" use simplified circuits, not the full fault-tolerant Shor's algorithm; factorizing 21 even required additional hints and shortcuts.

Simply put, no public progress demonstrates that we can build a quantum computer capable of breaking RSA-2048 or secp256k1 within the next 5 years.

Predicting it within ten years is still very aggressive.

The US government's proposal to complete the post-quantum migration for government systems by 2035 is a timeline for the migration project itself, not a prediction that CRQC will appear by then.

Which Cryptographic Systems Are Susceptible to HNDL Attacks?

"HNDL (Harvest Now, Decrypt Later)" refers to attackers storing encrypted communications now to decrypt them later when quantum computers become available.

Nation-state adversaries are likely already archiving encrypted US government communications on a massive scale for future decryption. Therefore, encryption systems need immediate migration, especially for scenarios where confidentiality is required for 10–50 years or more.

However, digital signatures, which all blockchains rely on, are different from encryption: they contain no secret information vulnerable to retrospective attacks.

In other words, when quantum computers arrive, they could indeed forge signatures from that moment onward, but past signatures remain unaffected—because they泄露 no secret. As long as it can be proven that a signature was generated before the advent of CRQC, it could not have been forged.

Consequently, the urgency to migrate to post-quantum signatures is far lower than for encryption migration.

Mainstream platforms have adopted corresponding strategies:

  • Chrome and Cloudflare have deployed hybrid X25519+ML-KEM for TLS.
  • Apple iMessage (PQ3) and Signal (PQXDH, SPQR) have also deployed hybrid post-quantum encryption.

But the deployment of post-quantum signatures on critical web infrastructure has been deliberately delayed—it will only happen when CRQC truly approaches, because the performance regression of current post-quantum signatures is still significant.

The situation is similar for zkSNARKs (Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge). Even those using elliptic curves (not PQ-secure) retain their zero-knowledge property in a quantum context.

The zero-knowledge guarantee means the proof does not leak any secret witness, so attackers cannot "harvest proofs now and decrypt later." Therefore, zkSNARKs are not susceptible to HNDL attacks. Just like signatures generated today are secure, any zkSNARK proof generated before the advent of quantum computers is trustworthy—even if that zkSNARK uses elliptic curve cryptography. Only after CRQC emerges could attackers forge proofs for false statements. Value exchange will continue day and night, constructing a new digital world far exceeding the scale of the human economy.

Трендовые криптовалюты

Связанные с этим вопросы

QWhat is the main difference in urgency between migrating to post-quantum encryption and post-quantum signatures according to the article?

APost-quantum encryption requires immediate deployment due to Harvest Now, Decrypt Later (HNDL) attacks, where encrypted sensitive data intercepted today could be decrypted later when quantum computers emerge. In contrast, post-quantum signatures are not vulnerable to HNDL attacks, as they do not involve confidential information that can be retroactively compromised, allowing for a more deliberate migration strategy due to their performance overhead and technical immaturity.

QWhat does CRQC stand for and what capabilities must it have to pose a threat to cryptography?

ACRQC stands for 'Cryptographically Relevant Quantum Computer'. It refers to a fault-tolerant, error-corrected quantum computer capable of running Shor's algorithm to break elliptic curve cryptography or RSA (e.g., cracking secp256k1 or RSA-2048) within a reasonable time frame, such as a month.

QWhy does the article claim that a CRQC is unlikely to emerge in the 2020s?

AThe article argues that current quantum computing platforms lack the necessary scale (hundreds of thousands to millions of physical qubits), gate fidelities, qubit connectivity, and sustained error-corrected circuit depth required for cryptanalysis. Public milestones and resource estimates do not support claims of CRQC emergence in this decade, as no system has demonstrated the high-fidelity, deep-circuit, fault-tolerant logical qubits needed for Shor's algorithm.

QHow do HNDL attacks specifically target encryption but not digital signatures?

AHNDL (Harvest Now, Decrypt Later) attacks involve adversaries intercepting and storing encrypted communications today to decrypt them later when quantum computers are available. This threatens encryption because it relies on secrecy that can be retroactively. Digital signatures, however, do not involve confidential information; while future quantum computers could forge new signatures, past signatures remain secure as they cannot be forged retroactively if generated before CRQC emergence.

QWhat is the current industry approach to post-quantum cryptography migration for encryption versus signatures?

AFor encryption, industry leaders like Chrome, Cloudflare, Apple iMessage, and Signal have already deployed hybrid post-quantum encryption (e.g., X25519+ML-KEM) to counter HNDL threats. For signatures, migration is deliberately delayed until CRQC is imminent due to significant performance drawbacks (larger sizes, worse performance, technical immaturity, and potential bugs) and the absence of HNDL risks.

Похожее

Может ли иск Polymarket на $6,5 млн изменить подход к разрешению споров на прогнозных рынках?

Два трейдера Polymarket подали в суд на платформу прогнозных рынков за нарушение договора и введение в заблуждение, что привело к совокупным потерям в размере 6,5 млн долларов для 1868 участников. Спор связан с рынком, отслеживающим, продаст ли компания Strategy биткоины к 31 мая. Хотя компания подтвердила продажу BTC в документах SEC в указанный период, Polymarket, добавив новую "уточняющую" формулировку о публичном подтверждении сделки и после голосования UMA, решил рынок в пользу ответа "Нет". Истцы утверждают, что это нарушило условия контракта. Аналитики отмечают, что этот иск может стать одним из самых значительных в сфере прогнозных рынков, потенциально повлияв на практику разрешения споров UMA и формирующееся регулирование CFTC.

ambcrypto1 ч. назад

Может ли иск Polymarket на $6,5 млн изменить подход к разрешению споров на прогнозных рынках?

ambcrypto1 ч. назад

Blockaid отзывает предупреждение об эксплуатации моста BTTC после подтверждения операции по его отключению

Компания Blockaid по безопасности блокчейнов отозвала предупреждение о возможной эксплуатации уязвимости в мосту BitTorrent Chain (BTTC), первоначально оценив перемещение активов на $13,3 млн как потенциальную атаку. Однако позже выяснилось, что данная операция была частью авторизованного внутреннего процесса по завершению программы закрытия моста (BTTC Bridge Sunset Program). Инцидент произошел в минувший вторник, когда системы мониторинга Blockaid обнаружили подозрительную активность, напоминающую компрометацию моста. Впоследствии основатель Tron Джастин Сан разъяснил, что перемещение средств, включавших около 7285 ETH и другие токены, было финальным этапом планового отключения моста, о котором проект объявил еще 12 июня. Все средства пользователей остались в безопасности. Blockaid обновила свою оценку, подтвердив, что операции были санкционированы командой проекта. Пользователям рекомендовано использовать для кросс-чейн переводов партнерские централизованные биржи, в то время как команда BitTorrent сосредоточится на развитии децентрализованных инициатив в сфере ИИ.

ambcrypto1 ч. назад

Blockaid отзывает предупреждение об эксплуатации моста BTTC после подтверждения операции по его отключению

ambcrypto1 ч. назад

Органичен или стимулирован рост TVL Monad до $477 млн? Оценка...

Децентрализованная экосистема Monad демонстрирует резкий рост общей заблокированной стоимости (TVL) — с примерно $80 млн в ноябре до рекордных $477 млн. Этот скачок совпал с запуском Aave V3 на Monad, который привлёк почти $100 млн депозитов, а также с выбором Monad в качестве домашней сети для «Money Account» от MetaMask. Однако статья задаётся вопросом, насколько органичен этот рост, указывая, что часть ликвидности может быть обусловлена временными стимулами, а не устойчивым спросом. Ключевым для долгосрочного успеха Monad станет превращение притока ликвидности в реальное использование сети, о чём свидетельствуют рост числа кошельков, объёмы мостов и использование стейблкоинов. Параллельно в статье рассматривается ситуация в Aave, где перед запуском Aavenomics 3.0 депозиты резко выросли. Успех Aave теперь зависит от того, смогут ли эти депозиты стимулировать активность заёмщиков и стабильные доходы протокола, подкреплённые автоматическим выкупом токенов. **Итог:** Для Monad и Aave текущий рост ликвидности — это лишь первый шаг. Их долгосрочное развитие зависит от способности преобразовать этот капитал в устойчивую активность пользователей, стабильные доходы протокола и реальное использование экосистем.

ambcrypto2 ч. назад

Органичен или стимулирован рост TVL Monad до $477 млн? Оценка...

ambcrypto2 ч. назад

Сможет ли MemeCore преодолеть сопротивление на уровне $1,28? ЭТА модель намекает на...

Мемкойн MemeCore (M) за сутки упал на 11%, однако сохранил рост на 111% за последнюю неделю. Несмотря на чистый приток средств на спотовом рынке, давление продавцов усиливается на рынке перпетуальных контрактов, где объем продаж превышает объем покупок. Цена M консолидируется в рамках симметричного треугольника, и ключевым сопротивлением для роста является уровень $1,28. Прорыв выше него может открыть путь к дальнейшему укреплению. Индикатор Accumulation/Distribution (A/D) указывает на преобладание накопления (активных покупок). Кроме того, крупные держатели (киты) начали накапливать актив, в то время как мелкие розничные инвесторы фиксируют прибыль. Эта поддержка со стороны китов может стать решающим фактором для возобновления восходящего тренда M, если она сохранится на фоне позитивных сигналов на спотовом рынке.

ambcrypto3 ч. назад

Сможет ли MemeCore преодолеть сопротивление на уровне $1,28? ЭТА модель намекает на...

ambcrypto3 ч. назад

Регулярный цикл» нарушен? Хоскинсон обвиняет американскую политику в застое крипторынка

Чарльз Хоскинсон, сооснователь Cardano, раскритиковал вовлечённость администрации Трампа в криптоиндустрию, заявив, что политическая неопределённость в США нарушила обычный рыночный цикл криптовалют. По его мнению, рынок теперь чрезмерно зависит от американской политики и регуляций, а не от технологического прогресса, что отвлекло инвесторов от традиционного бычьего рынка и помешало наступлению «альтсезона» в 2025 году. Хоскинсон также выразил обеспокоенность политической поляризацией, отметив, что, несмотря на крупные личные доходы Трампа от криптопроектов, отрасль может стать объектом усиленного регулирования — «Gensler 2.0». Его точку зрения разделяет Виталик Бутерин, который ранее предупреждал об опасности поддержки политиков лишь на основании их «прокрипто» позиции. В то же время планы Трампа по созданию государственного резерва Bitcoin сталкиваются с юридическими препятствиями, связанными с полномочиями Казначейства США.

ambcrypto4 ч. назад

Регулярный цикл» нарушен? Хоскинсон обвиняет американскую политику в застое крипторынка

ambcrypto4 ч. назад

Торговля

Спот

Популярные статьи

Как купить S

Добро пожаловать на HTX.com! Мы сделали приобретение Sonic (S) простым и удобным. Следуйте нашему пошаговому руководству и отправляйтесь в свое крипто-путешествие.Шаг 1: Создайте аккаунт на HTXИспользуйте свой адрес электронной почты или номер телефона, чтобы зарегистрироваться и бесплатно создать аккаунт на HTX. Пройдите удобную регистрацию и откройте для себя весь функционал.Создать аккаунтШаг 2: Перейдите в Купить криптовалюту и выберите свой способ оплатыКредитная/Дебетовая Карта: Используйте свою карту Visa или Mastercard для мгновенной покупки Sonic (S).Баланс: Используйте средства с баланса вашего аккаунта HTX для простой торговли.Третьи Лица: Мы добавили популярные способы оплаты, такие как Google Pay и Apple Pay, для повышения удобства.P2P: Торгуйте напрямую с другими пользователями на HTX.Внебиржевая Торговля (OTC): Мы предлагаем индивидуальные услуги и конкурентоспособные обменные курсы для трейдеров.Шаг 3: Хранение Sonic (S)После приобретения вами Sonic (S) храните их в своем аккаунте на HTX. В качестве альтернативы вы можете отправить их куда-либо с помощью перевода в блокчейне или использовать для торговли с другими криптовалютами.Шаг 4: Торговля Sonic (S)С легкостью торгуйте Sonic (S) на спотовом рынке HTX. Просто зайдите в свой аккаунт, выберите торговую пару, совершайте сделки и следите за ними в режиме реального времени. Мы предлагаем удобный интерфейс как для начинающих, так и для опытных трейдеров.

1.6k просмотров всегоОпубликовано 2025.01.15Обновлено 2026.06.02

Как купить S

Sonic: Обновления под руководством Андре Кронье – новая звезда Layer-1 на фоне спада рынка

Он решает проблемы масштабируемости, совместимости между блокчейнами и стимулов для разработчиков с помощью технологических инноваций.

2.3k просмотров всегоОпубликовано 2025.04.09Обновлено 2025.04.09

Sonic: Обновления под руководством Андре Кронье – новая звезда Layer-1 на фоне спада рынка

HTX Learn: Пройдите обучение по "Sonic" и разделите 1000 USDT

HTX Learn — ваш проводник в мир перспективных проектов, и мы запускаем специальное мероприятие "Учитесь и Зарабатывайте", посвящённое этим проектам. Наше новое направление .

1.9k просмотров всегоОпубликовано 2025.04.10Обновлено 2025.04.10

HTX Learn: Пройдите обучение по "Sonic" и разделите 1000 USDT

Обсуждения

Добро пожаловать в Сообщество HTX. Здесь вы сможете быть в курсе последних новостей о развитии платформы и получить доступ к профессиональной аналитической информации о рынке. Мнения пользователей о цене на S (S) представлены ниже.

活动图片